금보원, 금융사가 사용하거나 금융소비자에게 배포하는 S/W 취약점 발굴
2월 오픈한 금융권 소프트웨어 공급망 보안 플랫폼과 연계하여 운영

[보안뉴스 원병철 기자] 금융보안원은 금융권 공통 소프트웨어에 대한 제로데이 취약점을 선제적 발굴하고자 ‘금융권 S/W 보안 취약점 신고 포상제’를 실시한다고 밝혔다.


[출처: 금융보안원]

대한민국 국민 누구나 화이트해커로 참가할 수 있으며, 올해부터는 참가 신청 및 신고 접수는 ‘금융권 소프트웨어 공급망 보안 플랫폼’으로 일원화해 운영된다.

리액트투쉘(React2Shell) 사태처럼 소프트웨어 공급망 보안 위협이 금융권에 동시다발적인 영향을 미칠 수 있다는 점을 고려해, 금융회사 또는 가상자산사업자가 공통으로 사용하는 소프트웨어(솔루션 포함)에 대한 보안 취약점은 연중 상시로 접수한다.

특히, 발굴된 취약점에 대한 지속·체계적인 대응을 지원하기 위해 금융권에 소프트웨어를 공급하는 제조사와 ‘공동운영’ 협약을 체결하고 있으며, 올해 신규 협약기업을 확대할 예정이다. 2025년에는 4개 기업이 참여했으며, 올해 1개 기업이 추가 참여해 총 5개 기업(휴네시온, 지니언스, 시큐브, 지란지교소프트, 테르텐)과 공동 운영된다. 또한 공동운영 여부와 관계없이, 금융권에 영향을 미칠 수 있는 금융권 사용 또는 배포 소프트웨어 및 솔루션에 대한 보안 취약점은 상시 신고를 통해 접수할 수 있다.

취약점 수준에 따라 최대 1천만 원의 포상금 지급 및 (위험도가 높고 파급력이 큰 경우에 한정)CVE 크레딧을 부여할 예정이다.

이외에도 우수 취약점 신고자는 금융보안원 입사 지원 시 우대하고 “취약점 발굴 명예의 전당”에 등재하는 등 다양한 인센티브 제공할 계획이다.

금융보안원 박상원 원장은 “보안 위협이 증가하고 공격 속도가 가속화됨에 따라 화이트해커를 활용한 선제적 취약점 발굴의 중요성이 커지고 있다”면서, “금융권 소프트웨어 공급망 보안 플랫폼과 취약점 신고 체계를 연계해, 취약점 발굴부터 조정·완화 및 정보 공유까지 취약점 관리 전반을 체계적으로 지원하겠다”고 밝혔다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>